Como os apps de chamadas em vídeo se tornaram alvos de desconfiança

O app de videoconferência Zoom, cuja popularidade explodiu com a pandemia do novo coronavírus e chegou em 200 milhões de contas, está sendo questionado por usuários e autoridades sobre seus parâmetros de segurança. A desconfiança sobre como o serviço protege os dados de quem usa é tanta que já o levou a ser proibido por várias instituições, incluindo a Agência Nacional de Vigilância Sanitária (Anvisa), a fabricante de foguetes SpaceX, as Forças Armadas Australianas e alguns distritos escolares nos Estados Unidos.

Aparentemente existem uma série de vulnerabilidades no app que foram encontradas por especialistas de segurança digital, entre elas falhas de programação e deficiências na criptografia que protege a comunicação entre os usuários. Análises do app mostraram ainda que o serviço compartilhava dados com o Facebook e com o LinkedIn sem deixar isso claro para os usuários da ferramenta, e até mesmo de pessoas que não possuíam conta em tais redes sociais.

Outra polêmica do serviço é uma prática que ficou conhecida como “Zoom bombing”, pela qual um invasor consegue entrar na reunião e ouvir as conversas dos demais participantes ou transmitir imagens, tumultuando a ligação. Na Noruega, um homem nu apareceu durante uma aula remota com alunos menores de idade, levando a escola a abandonar o aplicativo.

Ambas as invasões ocorreram por conta de como o app organiza a hierarquia das opções de segurança, deixando por conta dos usuários escolherem em que momento vão fechar uma reunião e colocar senha de acesso. A maioria deles inicia a chamada e se esquece de fechar a sala.

O impacto dos problemas foram tantos na reputação da empresa que o fundador e CEO da Zoom, Eric Yuan, pediu desculpas aos milhões de usuários do aplicativo de videoconferência. “Reconhecemos que ficamos aquém das expectativas de privacidade e segurança da comunidade”, disse Yuan em um post realizado na quarta-feira (1). Como solução, disse que focariam esforços em concertar os erros atuais e deixariam de lado o desenvolvimento do app.

Na mesma seara de inseguranças, outro aplicativo de conferências também ganhou uma má reputação em seu momento de maior popularidade. O Houseparty foi acusado por usuários no Twitter de coletar senhas de outros serviços. A polêmica de privacidade surgiu na segunda-feira (30), com tuítes em inglês, espanhol e português relatando que contas de streaming, como Spotify e Netflix, haviam sido hackeadas após cadastro no Houseparty. Há até reclamações de que contas bancárias foram invadidas.

O aplicativo Houseparty publicou um comunicado na sua conta oficial do Twitter, ainda na segunda-feira, informando que os perfis do serviço de videoconferência estão em segurança e que ele não coleta credenciais de outras plataformas. Não existem provas de que o app tenha sofrido vazamento de dados, e nem que ele tenha ligação com a invasão de outras contas. Numa provocação, ofereceu 1 milhão de dólares para quem conseguisse provar que o serviço tinha falhas.

A Forbes investigou o app na semana passada com a ajuda de um especialista em segurança cibernética, e declarou que as autorizações que o Houseparty requer dos usuários (como acesso à câmera durante o uso) são coerentes, então o aplicativo é supostamente seguro. A única observação do veículo se refere às políticas de privacidade: é possível que pessoas desconhecidas invadam as salas de jogos de outros usuários caso eles não as tranquem — opção essa disponível no aplicativo.

“O erro básico é que muitos instalam um app sem avaliar seus pré-requisitos de segurança ou o que estariam compartilhando em troca de uma ferramenta gratuita. Acabam por esquecer que no mundo tecnologia dados pessoais são moeda de troca por serviços gratuitos”, disse a especialista em segurança digital Marta Schuh, da corretora Marsh, uma gigante americana especializada em seguros corporativos e que cobre empresas em caso de invasões.